一 : 猥琐黑客自述：我控制MM电脑的历程

　　极度无聊的黑客

　　前言：

　　这名黑客的生活状态、思想境界、处世原则非常强大!本文是给大家消遣娱乐的，同时被“故事大王”喷到的反病毒厂家也不别在意。

　　故事：

　　在给大家讲这个故事之前，我想先说明一下，我虽然是个黑客，但不是职业的。黑客行为只是我的爱好，所以我不会以此为商业目的，想让我帮忙黑网站的也都歇歇吧。我只是平淡的说出这样一件事，至于是非，就请大家评述好了。

　　本人性别，男，直至26岁都是处。我的职业与黑客基本无关，是个做产品包装设计的，对此就不多做解释了。认识她其实很偶然，直至今日，我都觉得这一切是命运的安排。

　　第一次见到她是在电梯里，她并不是那种立即可以抓人眼球的美女，但是长得在我看来的确很销魂。那一刻我只知道，她和我属于完全不同的两个世界。

　　我是一个长得不咋地的老爷们。。。一般来讲，打扮的稍微光鲜一点的女孩都和我无缘。倒也不是自卑，只是单纯的觉得，相貌是女孩子比较挑的东西。

　　我一直很沉默，一直单身，没有娱乐，没有消遣，每天下班就回家，下A片，看A片。本人比较喜欢死夜恶系列，我承认自己很黄，很鬼畜。另外一个爱好就是发木马，控制女孩的电脑，看她的聊天记录和照片什么的，我活的很宅，很猥琐。。。。。

　　电梯偶遇

　　刚才说了在电梯里看到她，听她和他同事说话，觉得她很特别。她那个同事是个留着朋克头的小子，一看就是一副流氓像，开口勾引她出去玩，电梯里那么多人呢。。。但是她言辞犀利的把朋克男拒绝了，嗓音洪亮有魄力，动作也像个男孩。那个朋克男老去玩她下巴，我看了就很火大。无奈那男的比我高，身上带纹身，我就但缩了。下了电梯，我跟着他们俩走了很久，坐上地铁，和我家是相反的方向，但我还是跟着去了。跟到她下车，我终于按奈不住，把一张我的名片塞在她的环保袋里了，怀着忐忑不安的心，我回家了。

　　名片上有我的电话和QQ，我心说她会不会加我呢?没想到她真的加了我，令我十分相信这是命运给了我机会。。。她问我的名片怎么会在她袋子里，我很俗套的说可能我们见过面，有业务往来。之后她就不搭理我了，不管我说什么她都只是"呵呵""是么"之类的来敷衍我。一连几天，都对我带搭不理。后来直接说我很烦。我怕她把我拖黑，就没再骚扰她。

　　我承认我很猥琐，我也不明白我为啥就迷上她。有一次和她开视频，开了一下就被她关了，我想截张照片都没来得及。

　　就这么过了好多天，我实在忍不住，太想再看看她了，又跟她弹视频。她立即就把我拒了，说我这人很烦。我那个时候心里也挺火，操，你不就长得漂亮点么，有啥了不起?我估计她是嫌我丑。当下我就决定，黑了她!

　　接着我就开始着手准备了，再此，我不介绍具体的方法，只说一下大概的流程，以免你们都学我，其实这样不好。

　　我先是用另一个QQ加了她，给她发过一个破坏系统文件的病毒页。这样的页面不难找，她马上就打开了，呵呵，发的是机器狗，不过她没中招。电脑上应该装了卡巴，我的病毒失效的时候突然有这样一种感觉：这事挺刺激的。我开始觉得，这是一场我和她的小战争，我攻破她的电脑，就像攻破她的身体一样有快感。

　　系统中招

　　接着，换了一个病毒，是磁碟机的一个变种发过去～成功搞定，卡巴删了她系统里感染病毒的文件!于是系统出毛病了。

　　第二天她在QQ跟我说系统中招了，我跟她说我帮你去装系统吧，她说不用，这女孩看来还是很烦我。过了两天，她真的重新装了系统，因为我的检测软件发现她已经没有防火墙了～哇哈哈，趁她还没装任何安全防护的时候，又弹给她一个带灰鸽子的页面!万岁!她彻底中招，我已经可以玩她电脑里的任何东西了。

　　令我万籁俱灰的是。。。她装系统前，居然D格了!整个电脑里啥都没有!我吐血，本来还想弄她两张照片拿来SY呢。随后，我试着开了一下她的摄像头，没敢多开，只开了一小会，但是她穿的很少，我狂打了一阵，直接S屏幕上了。哈哈。

　　唉，其实，你们说我无耻也好，下流也好，都无所谓，我就是这样一个人。过了两天，她又装了防护软件，这次的软件比较难对付，DR.WEB，(又叫大蜘蛛)的引擎(我用的也是这个)玩不好我就挂掉了。。。还容易暴露我的IP，所以我没有在主控端开木马，而是又发了一个磁碟机，想先破坏她的防火系统。结果磁碟机TMD被清除了!又发了几个别的，TMD又被清除了!当时我把俄罗斯人骂了整整三十分钟，发明这东西最早是用给军方的，防毒和杀毒的功能自然不是一般的小磁碟可以搞定。

　　我问她你杀毒软件是哪里产的，她说韩国。明白了，驱逐舰呗(说一下，驱逐舰是韩国公司出的杀软，但是用的是大蜘蛛的杀毒引擎)!我靠弄了半天和我用的还TMD一样，不行，得继续搞她!我快疯魔了最近。。。一个小小的10M大小的驱逐舰要是就难倒我了，我还妄称什么黑客?

　　我开始拿自己的电脑实验，系统被我搞的七零八落。。。最后总算找到点解决办法，弄了几个比较稀有的木马。。连我自己都没听说过的，对自己电脑试了试，貌似没什么大用，只能降低一些速度，而且手动删还是删的掉。于是我只能寄希望于她不会手动删我的木马。

　　在这里我想提醒一下大家，算是我的一点良心发现吧。木马这东西其实你是可以"看"见的，只是它藏的比较隐蔽。有时候藏在文件里，有时候挂在网页上。当你觉得你的机器不对劲，丢帐号或者文件被修改的时候，可以看看自己的某个文件夹里是不是多了某个文件或程序，如果那个程序名称的进程正在运行，OK，你可能已经被人控制了!

　　唉，讲了这么多，我一点也没负罪感，为啥呢?你们来骂我，无非是我可以搞定你们搞不定的事。干，卡巴算什么，瑞星算什么，驱逐舰算什么，大蜘蛛算什么，诺盾算什么，老子早晚搞死他们做专业黑客!

二 : 请问如何检查自己的电脑有没有被黑客远程控制？偶用聊天软件聊天后老?

请问如何检查自己的电脑有没有被黑客远程控制？

请问如何检查自己的有没有被黑客远程控制？偶用聊天软件聊天后老是怀疑自己的电脑被黑客下了“黑手”，请问如何检查？有软件可以查吗？

---

打开"控制面板"->"管理工具"->"计算机管理" 的"本地用户和组"->"组" ，打开administrators 这个组，如果发现有除了administrator这个成员以外还有别的成员，那么你就是被控制了，如果没有，那么至少电脑没被完全控制。是否有后门，可以用杀毒软件（如卡巴斯基）、木马查杀软件（如木马克星、3721的反间谍专家）等进行查杀。

三 : 黑客工具之 远程控制

1.瑞典C_One1.0汉化版+原版

下载地址：

软件介绍：· 功能不错 很爽的一款木马试试就知道了哦考虑到大家都想做自己免杀的木马 文件打包了 原版脱壳文件配合你学到的 修改特征码 技术 一款属于自己个人的好木马就出来了

2.尘土2.0

下载地址：

3.鹰眼远程监控 V3.0

下载地址：

软件介绍：· “鹰眼”远程监控系统通过企业内部互联网和国际互联网实现远程视频监控。将各监控点的视频信号进行远程传输，实现现代化的管理，通过监控系统使用户随时掌握监控点的情况，对监控点实现视频（音频）的录制、回放、查

4.流萤2.3Bate1发布版

下载地址：

软件介绍：· *流萤V2.3Bate1版*简介： 一款优秀的国产反弹型远程控制软件，完全免费且绿色无须安装，服务端仅16K的大小就已远远超过同类软件，而且服务端和控制端占用的内存都非常少，运行稳定,控制端可...

5. 网络神偷 7.0 正式版

下载地址：

软件介绍：· 网络神偷 7.0 正式版网络神偷是一个专业的远程文件管理软件，具有以下特点： 1．软件定位针对远程文件管理，而不是远程控制，力求“做专做精”。界面模枋 Windows 资源管理器，简单易用。 2．可对...

6.PcShare0906破解版无壳

下载地址：

软件介绍：· -== PcShare0906破解版无壳.rar 2.0MB ==--一、修改了更新客户端后，分组丢失的情况。但重新种客户端，分组将丢失。二、增加了主控制台排序的功能。三、增加了文件管理排序的功能...

7. QQ远控精灵2.5及完整源代码

下载地址：

8.核子鼠1.0Beta6.3汉化版

下载地址：

软件介绍： · 简介：一个比较有名气的木马，功能比国内木马还要强。

9.国外最新反弹木马: Leviathan 1.0

下载地址：

软件介绍：· 国外最新反弹木马: Leviathan V 1.0汉化by: x140d4n功能介绍:支持反弹连接,文件管理器,窗口管理器,进程管理器,恶作剧功能,获取缓存密码,肉鸡浏览网页历史,使用代理反弹.HTT...

10.国外最新反弹木马C-One 1.0

下载地址：

软件介绍：· 汉化by:x140d4n [ 功能 ] [+] 文件管理器 [+] 下载 [+] 上传 [+] 创建新目录 [+] 运行文件 [+] 释放stub [+] 服务端大小, 9 kB / 5 kB [无壳...

11.学生黑客联盟专用版本远程控制

下载地址：

12.尘土1.0

下载地址：

软件介绍：· 简介： 软件名：尘土软件配置大小：14213字节软件版本：1.0.0软件平台：Windows2000/XP

13.灰鸽子 MiNi 有点累了免杀专版

下载地址：

软件介绍：· 灰鸽子 MiNi 有点累了免杀专版注：针对126域名修改的版本。可以正常126.com或yeah.net免费域名自动上线。功能：1.文件管理：文件查看，复制，粘贴，删除，上传下载。2.进程管理：进程查...

14.浩天灰鸽子mini最终版

下载地址：

软件介绍：· 程序在XP.2003和2000下测试正常(是指可以获取所必须的所有窗口,并非程序不能启动,如果不能启动请将压缩包mscomctl.ocx放到系统\system32\下),其它系统版本下由于条件限制没有...

15.浩天网络神偷vip版

下载地址：

16.HTML混淆器

下载地址：

软件介绍：HTML混淆器

17.PcShare2005-Build0718 VIP火狐完美版

下载地址：

软件介绍：· 软件功能: 计算机远程控制软件,独创HTTP双连接实现全双工通信,通信方式为反向连接,独创屏幕数据线传输技术,多功能多进程管理,不同客户互相之间不影响,保证软件功能稳定.功能实现为插件方式,自带客户端...

18.Spook5.5

下载地址：

软件介绍：· 2005年7月16日：Spook 升级到5.5版本，这次升级改动不大，修正了以前版本的一些BUG,增强了程序的稳定性；减小了清除程序 Clear.exe 的体积；另外由于很多人询问软件的使用方法，所以...

19.百世经纶一页书RADMIN生成器

下载地址：

软件介绍：· 设置好端口、密码，然后点击生成，即可生成 RADMIN百世经纶增强版的两个文件，一个服务端 server，一个清除器 clear。连接注册码（在radmin.exe的版本信息有）：08US9A95I+...

20.灰鸽子远程控制 [企业版] build 050712

下载地址：

软件介绍：· 软件类别:网络工具/远程监控软件名:灰鸽子远程控制[企业版]版本号:build 050712 发布公司： 灰鸽子工作室 网站地址: http://www.61k.com权方式：共享软...

21.灰鸽子远程控制[企业版]Build 050712

下载地址：

软件介绍：· 1、实时屏幕控制，使用屏幕驱动捕获屏幕，使屏幕控制达到实时传输！2、多窗口操作，可以对一台电脑同时进行多操作及对多台电脑同时进行多操作！3、两种远程控制形式：客户端主动连接控制型和服务端自动上线连接型...

22.灰鸽子在线升级服务端

下载地址：

软件介绍：· 演示开始。。。当然就是这玩意了有二个账号..一个netknave netknave另一个hacker365 hacker365都是一样用地....

23. 冬日之恋4.0 未加壳版

下载地址：

软件介绍：· 冬日之恋4.0 未加壳版1.这个可以自己加壳。加壳后必须要测试一下才能放到肉鸡上运行。2.这个版有点特别。有两个原配文件SERVER_EXE跟SERVER_DLL。配置端利用 这两个原配文件生成服务...

24. 寿鼠 V1.0

下载地址：

软件介绍： · 这是我用Delphi 6写的第一个远程控制程序'寿鼠 V1.0'.功能并不多......更多的正在编写中......目前不会被杀 ....(至少我这没被杀!) <这是优点!---希望它真的是寿鼠!>需...

25.黑失败3.3.0.1正式版

下载地址：

26. 网络神偷免费防杀修正版

下载地址：

27. 黑社会2.0反弹木马完美组合套餐

下载地址：

软件介绍： · <<黑社会>>2.0反弹版本闪亮登场=黑社会2.0反弹版本闪亮登场网站转载请与本人联系;并保持本文件完整性=[功能简介]:1 五大必备功能远程屏幕; 完全控制;

28. 远程控制Spook

下载地址：

软件介绍： · 升级到5.4版本，采纳了网友“小新”提出的建议，把程序修改为可以使用域名上线了。如果你没有FTP空间，可以去http://www.61k.com申请一个免费域名来使用该程序了。填写域名的时候，格式...

29.远程控制任我行VIP破解版

下载地址：

软件介绍：· --== 远程控制任我行VIP破解版 ==--~~“任我行(专业版)”说明1、免除木马克星和杀毒软件查杀2、经过安全检测，绝不带有病毒3、独亨远程主机更加安全可靠4、能自由更改连接密码进行连接5、...

30.流萤V2.2Ⅱ版

下载地址：

软件介绍：· 优化了2.1版的dll注入类型共享内存的数据结构和注册表的写入代码，使软件运行更加稳定，提高了视频数据传输质量，现在的视频传输相当清晰!对屏幕数据传输也做了一些改进，同时美化了一下控制端界面。

31.DameWare3.6迷你中文版

下载地址：

软件介绍：· DameWare Mini Remote Control 3.66.0.0 是一套功能强大的Windows NT 远程控制软件。只要有管理员密码和用户就可以连接,试用后觉得是网管的好帮手，功能超强呀！...

32. 教主专用反弹木马：HDSPY

下载地址：

33.PcShare2005 Bulid0324

下载地址：

软件介绍：· PcShare2005 Bulid0324，03月24日发布，这是一款计算机远程控制软件，独创HTTP双连接实现全双工通信，通信方式为反向连接，独创屏幕数据线传输技术，多功能多进程管理，不同客户互相之...

34.QQ远控精灵2.4版

下载地址：

软件介绍：· QQ远控精灵2.4版，04月03日发布，这个版本可以通过手机发消息给QQ进行控制了，使用方法一样，只是估计那些字符手机不容易编辑。一个利用QQ来进行远程控制的小软件，功能不是很多，但终于实现了不

35. 远程开3389的工具

下载地址：

软件介绍：· 只要你有一远程主机的管理员密码，并且远程主机的135端口和WMI服务-默认启动 都开启，那么你就可以通过这个小程序远程开3389、远程开/关telnet、远程运行CMD命令、远程清除所有日志、远程重启...

36. nmap 3.81

下载地址：

软件介绍：· 网上很多人说它是 扫描王

37. CIA1.3

下载地址：

软件介绍： · CIA1.3，12月30日发布，这是一款功能不错的特洛伊木马。其新版功能如下： 1：采用两种防火墙旁路方式： - 采用大多数间谍软件的方式尝试旁路防火墙； - DLL插入方式（可指定插入IE或...

38.远程控制任我行 v5.8

下载地址：

软件介绍：· 远程控制任我行 v5.8，02月28日发布，这是一款远程监控软件，具体功能包括： 1．查看远程主机进程信息，并能自由结束相应进程；2.远程文件操作：包括创建、上传、下载、复制、删除文件或目录、远程打开...

39. 网军小工兵 1.0 正式版

下载地址：

软件介绍：· 功能介绍：　１.系统信息查看　２.服务操作查看　　３.系统进程控制４.系统智能优化　５.系统LJ清理６.回收站智能清理来源:第八军团

40. 溯雪build 821Betata 5汉化版

下载地址：

软件介绍：· 溯雪可对免费信箱进行探测，主要通过猜测生日的方法，成功率可达60%-70%，还对各种社区、BBS、聊天室等密码的探测。另外，它本身还是一个功能完善的浏览器，

41. 绿鹰小子Eagle Boy10

下载地址：

软件介绍：· 绿鹰小子，国产木马

42. 神气儿 2.1

下载地址：

软件介绍：· 神气儿 2.12.1使用了SPI的技术,挂在别的UDP端口上面,本身不开任何端口.一、功能简介：1.文件浏览：高度仿真 Windows 资源管理器，简单易用．强大的文件操作功能：可对本地及远程驱动器进...

43. 网络神偷 6.3 版

下载地址：

软件介绍：· 网络神偷是一个专业级的远程文件访问工具，具有以下特点：1.针对磁盘文件系统：本软件针对远程文件访问，而不是远程控制，力求“专而精”。并高度模枋 Windows 资源管理器，简单易用，我们的目标是使访问

44. 冰河 2005新年版

下载地址：

软件介绍：· 冰河2005新年版此版本经测试,目前可以躲过最新版的：金山毒霸，瑞星，江民，卡巴斯基，安博士等杀毒软件的查杀！注意：此版本万能密码为:77899022软件功能概述:该软件主要用于远程监控，具体功能包括...

45. PcShare2005 Bulid0224

下载地址：

软件介绍：· PcShare2005 Bulid0224，02月24日发布，这是一款计算机远程控制软件，独创HTTP双连接实现全双工通信，通信方式为反向连接，独创屏幕数据线传输技术，多功能多进程管理，不同客户互相之...

46. 屏幕间谍2004 V10.16 注册版

下载地址：

软件介绍：· 屏幕间谍2004 V10.16 注册版你的员工在上班时打游戏？你的老公在网上和别的美眉打情骂俏？你的孩子在家游览不良网站？屏幕间谍为你安装一个软件摄像头，使你天涯海角仍能掌握乾坤。 《屏幕间谍》...

47. 灰鸽子MiniHacker可加壳版

下载地址：

软件介绍：· 灰鸽子MiniHacker可加壳版此版为鸽子MINI Hacker版原版，经过破解，现可以直接生成服务端，无加壳目前2005年2月20日，目前卡巴斯基查杀不到，但KV可以。加壳建议：用ACProte...

48.Radmin3.2影子版

下载地址：

软件介绍：· 很多人在找这个软件，今天顶出来，方便大家一下吧，注意，服务端会被一些杀毒软件查杀的，控制端没事。Radmin3.2影子版软件概述：远程控制软件，可以远程管理公司或个人计算机实现远程办公。可以进行完全控...

四 : 简单反查黑客远程控制/后门的方法

前面已提到了远程控制技术，现在的很多黑客软件、外挂软件都存在后门程序的捆绑，所为后门程序就是在你的计算机中开某一个端口后门与黑客的主控端进行连接，一旦运行了捆绑后门的软件，你的电脑就中了后门程序，只要黑客在线就能随意的控制你的电脑了，不只是软件，当然假如你的计算机存在漏洞已经被黑客提权并且植入了木马你也没发现，黑客总是喜欢植入远程木马，远程木马控制你的计算机，黑客通过远程控制软件即主控端能监控你的桌面活动、监控你在干什么；可以查看你各个磁盘的文件，还可以把你的重要隐私文件、照片下载到黑客的电脑中；可以删除、格式化你的资料，修改你的操作系统设置，无时无刻监控着你。更可怕的是只要你有麦，就可以监听你的语音说话声，只要你有摄像头就可以在后台悄悄打开摄像头看到你本人。这是多么可怕的木马吧，这样把我们的全部隐私都暴露在了黑客的眼中。如果黑客再植入盗号木马那就更麻烦了。所以现在本来在这里教大家简单的反黑客远程控制的方法，方法很简单，大家一学就会的。学习之前我们先了解下远程木马的几个特性然后针对这些特性如何去判别是否被远程控制，软件是否有后门？

一、远程控制的两个通性[www.61k.com]

（1）任何一款的远程控制技术都必须与目标（被控端）建立至少一个TCP或者UPD连接。如果黑客未上线，则会每隔30秒向黑客发起连接请求。
（2）任何一款远控木马都会向系统写入至少一个随机启动项、服务启动项，或者劫持某个系统必备的正常启动项。并且会在某个目录中隐、释放木马。以方便随机启动。

二、基于远控通性反远程控制法——两条命令判断是否被控制

1.最简单的方法就是通过两条命令，一条是“netstat“ 。另一条就是“tasklist“命令，这两条命令可真为是绝配的反黑客远控的方法啊。首先我们就在虚拟机中测试，在本机使用灰鸽子主控端生成一个木马放入到虚拟机中运行。



2.确认虚拟机已经中了我们的远控木马之后我们开始执行第一条命令，首先大家先在联网的情况，把所有联网的程序都关闭，包括杀毒软件、QQ、迅雷、等存在联网的程序关闭，保存最原始的进程。这样很方便我们识别。再次打开开始菜单——运行——输入“cmd”。进入到黑色的DOS窗口下，输入命令“netstat -ano“。这条命令的意思是查看当前网络的连接状态。输入之后我们查看中主要看"state"的状态，如果是“listenning”是端口的监听这个可以放心，如果是“ESTABLISHED”可要注意了，这个状态意思是正在连接！我们肯定会想，我们都没开任何程序在联网，何来正在与远程主机连接呢？下面是中了远程控制木马的虚拟机中网络连接状态。



3.此时捕捉到正在连接的状态的最后一行PID值为：3920，这就是我们说的远控至少与目标建立一个TCP或UDP连接，而这里建立了一个TCP连接，并且仔细看下，“Foregin Address”意思是外网地址，这个IP地址可以百度进行查询下就可以知道是哪个地区的人在控制我们的电脑，再仔细看下IP地址后面的端口为：8000，现在很多主流的远程软件都是8000或者80端口，这又更值得怀疑了。这样我们就可以查看进程，因为木马要想进行连接就必定会在内存中进行运行，否则就无法进行连接了，我们查看内存中可疑的进程，上面捕获的连接PID为：3920。我们输入命令“tasklist /svc“这条命令是查看当前进程与PID值和启动的服务。



4.通过上面的命令找到了网络连接对应的PID值进程3920，并且发现该进程名是一个IE的进程，很明显这就有问题，因为我们根本没打开浏览器，何来IE进程呢？果断的就知道它的一个远程控制木马伪装的进程。我们应该马上去进行一个查杀掉该进程，从内存中干掉它。我们输入命令“taskkill /f /pid 3920” 这条命令是强制结束PID值为3920的进程。当我们强制结束掉了木马之后发现主控端远程控制软件上的肉鸡马上就下线了。这样黑客就无法进行控制了。



5.在这里说明，我们只是暂时现在已经让黑客无法控制我们的电脑，结束了它的远程控制的连接程序。但是我们要知道远程控制的第二个通性，就是远程控制软件为了让对方能够重启系统后继续在黑客的远控软件上面上线，就必须会在被控者的电脑上写入一个随机启动项，这个随机启动项就是当系统启动的时候立马运行木马，运行了木马就可以再次上线。所以我们还需要检测我们的启动项。很多启动项都是写入注册表的，我们这里给大家列出一些木马可能写入的启动键值。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 下的shell键值
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 下的load键值

以上是我们列举出的木马可能会存在自启动的注册表键值，其中第一个可以通过运行“msconfig”看到的。经过我们的仔细查看了所有存在可能的随机启动项发现没有任何异常，此时我们就要注意，是否是以服务的方式启动呢？下面我们就去检查可以的服务，经过多次对服务的分析，我们查看到有一个名字为“Rising RavTask Manage.”的进程可疑，因为过它的启动程序是藏在“C:\WINDOWS\Rising\svchot.exe"的程序，看过我前面的技术文章

61阅读请您转载分享：

《Svchost.exe进程的分析》就一下能判断出这就是伪装类似svchost文件，我们找到该目录后就会发现该文件还是个系统隐藏的文件，那就更可疑了，一个程序还设置为系统隐藏！可疑！正常情况下除去系统重要文件会隐藏，如果你对系统有足够的了解，看的出非系统文件居然隐藏！绝对是很可疑的，这时候可以百度下这个文件！！



6.在CMD下切换到该目录下进程一个强制删除吧，切换到目录后输入命令“del /ah /f svchot.exe“ 就可以强制删除隐藏的木马了。



7.此时我们把隐藏的以服务启动的木马干掉了，你可以去停止服务，或者通过sc delete去删除服务，这里就不多讲了，因为服务启动的木马已经被干掉了，即使服务存在也无法找到启动程序了。我们这里将虚拟机重启下，再查看下网络连接是否还会与黑客建立TCP远程控制连接呢？

三、基于远控的通性反黑客远程控制法——两个软件判断是否存在后门

1.这两个工具分别是icesword（中文：冰刃）和SSM软件。第一个软件主要是应对一些DLL进程注入或者是存在Rootkit的木马，所谓的Rootkit就是隐藏的意思，这样的木马有隐藏网络连接状态、隐藏进程的功能。但是使用iceword查看就能查看到这种内核级隐藏的木马。例如下面就是GHOST木马的DLL注入，它是通过DLL注入到svchost.exe进程的，从icesword就可以找到可疑的dll模块。如果有不懂可以查看我前面的技术文章《svchost.exe进程分析》。



并且大家都说"Svchost.exe“如果与外界的IP连接就肯定是被控制了，这是有道理的。因为现在的远控比如ghost、白金远控就是会有这种现象就是DLL注入到“svhochst.exe“进程进行控制的，所以会有连接，一般来说“svchost.exe“除了在微软更新的时候可能存在与美国IP的连接，但是其它时候都不会存在与外界进行IP连接的。通过360的网络连接就可以直接看的出来。



icesword里面的进程都是黑色显示的，如果出现有红色的进程，一般都是运用了内核级的rootkit技术的木马。这样的木马通过任务管理器或者tasklist /svc一般都是查看不到进程的，但是用冰刃却可以很快的查看到，如下图所示：



2。icesword的软件很强大这里就不多说了，上面已经举例说了。下面说下SSM工具的使用，首先我先在虚拟机里面安装下这个软件吧。并且开启这个软件，开启这个软件后只要我们运行任何一个程序都会报警说明软件执行了什么动作！这里我们将一个灰鸽子远控木马拷贝进到我们的虚拟机，当我们点击远控木马的时候SSM马上就报警了，提示程序启动，这个动作是正常的，因为该程序需要explorer图形化程序进程启动的。



3.当我们运行之后会发现，这时候程序突然来了一个注册表修改的动作，懂注册表的都知道这个就是向HKLC\System\CurretcontrolSet\services里面写入服务。这个就不太正常了，不是安装什么程序，一个简单的程序居然写入服务，增加服务，可疑！



4.当我们允许此次操作的时候，你会发现不停的会向注册表写入服务键值，这个肯定就是个可疑的动作，最后发现木马又释放了程序到系统目录。照理说一个执行程序不会随意释放程序到系统目录，可疑！



5.此允许发现最后一步又有一个进程尝试注入到IE里面进行以IE后台启动木马，很明显就能分析出就是个可疑的木马程序，很可能就是后门木马，它有写入服务的这一通性！通过SSM的拦截程序动作就可以分析一个程序是不是绑有后门木马。



三、通过TCPVIEW和360安全卫士体检查看后门木马


1.这个方法很简单，如果我们想分析一个软件是否有后门？简单！为了方便我们的分析，我们可以先把一些联网的程序关闭，先用TCPIP 来检测，先暂时关闭360安全卫士吧。下面我用一个带后门的灰鸽子远控来进行演示，首先打开我的TCPVIEW程序，查看到没有任何连接的情况。



2.此时我去运行一个带有后门捆绑的灰鸽子远程控制软件，大家眼睛仔细观看下，正常的我们来说是打开灰鸽子后只有监听着8000端口才是正常，但是这里有一个"svchost.exe"的程序马上向一个IP为：125.77.199.30 的8000端口尝试连接

61阅读请您转载分享：

，也就是状态SYN_SENT，该状态意思就是尝试向该IP发起第一次连接请求。很明显该软件可以捆绑了后门木马。



3.此时再过几秒观察，我们会发现该可疑的进程又突然尝试向IP为“125.77.199.30"的8000端口尝试连接。这很明显符合反弹型远程控制的特点，当木马运行后，如果黑客不在线会每个隔30秒向黑客发起连接，如果一旦黑客在线就是连接状态，不在线就是不停隔30进行发起TCP连接。如下图： 很可惜该IP的黑客不在线，所以后门程序才会不停地尝试连接，如果黑客在线则会马上变为连接状态。



4.还可以通过360的体检来进行查看的。首先打开360体检下保证你的系统暂时是不存在任何可疑的东西的。下面是我在没运行这个带后门的灰鸽子软件的体检报告。



5.好，在确认没有任何可疑的现象的时候，我们马上去打开带后门的灰鸽子（最好不要将灰鸽子放到桌面，放到其它磁盘去，方便体检的时候不会体检到桌面）来看看之后关闭掉带后门的灰鸽子去（防止体检到内存中运行着远控软件），再去体检下我们的系统.



6.咦，这时候有个未知的高风险程序Winhelp32.exe的木马。是系统关键位置，它不是灰鸽子的程序，而是将木马自身复制一份残留在系统目录中！！！有的还可能会报可疑的启动项!通过体检报告，一看就知道是捆绑了后门的软件，马上清除掉去！这就是木马的一个特性释放在某个目录，通过服务或者随机启动来开机启动木马。

经验：

1.查注册表启动项！
2.查服务启动！
3.查可疑网络连接！
4.查系统重要目录中的隐藏文件！
5.查svchost.exe宿主程序中的服务！
6.查数字签名！等等!

新手经验！大牛勿喷！

61阅读请您转载分享：

本文标题：黑客远程控制软件-猥琐黑客自述：我控制MM电脑的历程
本文地址： http://www.61k.com/1057068.html